Cisco ISE 2.3 Guest Portal

Cisco ISE 2.3 Guest Portal

Bundan önceki makalelerimizde Dot1x kullanarak Active Directory kullanıcılarımızı networke nasıl dahil ettiğimizi gördük.

Bu işlemler sırayla ;

  • Switchde ISE Server tanımı
  • ISE Serverda switch tanımı
  • ISE serverın Active Directory entegrasyonu
  • Client Pc de dot1x aktif edilmesi ve networke erişim sağlamasıydı.

Central Web Authentication ; Networke giriş yapmak isteyen kullanıcıları karşılayan BYOD ,Register Device , Guest vs. olarak gruplayan sonrasında belirlediğimiz yetkilerle networke erişim izni verdiğimiz bir yapıdır.

Makalede işleyeceğimiz konu GUEST kısmıdır ,kullanıcı networke erişmek ister, formu doldurur , kendini tanımladıktan sonra bizim verdiğimiz yetkiyle networkte dolaşır.

Switch üzerinden yapacağımız ayarlar 2 adet ACL yazmak ve interface altında bunu ilişkilendirmek

Kullanıcıyı karşılayacak ,onlardan hangi bilgileri doldurmasını istediğimiz sonrasında hangi sayfaya yönlendirme işlemini yapacağımız kısım burasıdır

Aynı zamanda diğer makalelerimde işleyeceğim BYOD,Register Device gibi diğer CWA özelliklerini incelerken gene buradan devam ediyor olacağız.

Self Register Guest Portalı tıklayıp Duplicate diyoruz.

Burada alt alta tab bulunmakta sırayla anlatmaya çalışıcağım

Portal Settings:

Interface port ayarlarının yapıldığı kısımdır.

“Employees using portal as guests” bağlanacak kullanıcıya verdiğimiz yetkini süresinin belirlendiği kısımdır. Günlük Haftalık Aylık şeklinde düşünebilirsiniz.

Registration Form Settings:

Bağlanan kullanıcıların default hangi gruba ve bu hesapların ne kadar süre aktif olacağını belirlediğiz alan mevcut

Ekran görüntsünden de anlaşılacağı üzere kullanıcıdan adı, soyadı,mail adresi, telefon numarası gibi hazır tanımlar olduğu gibi yeni Field tanımlayıp TC no isteyebiliriz.

Sms authentication yapmak istiyorsak sms gateway tanımınıda bu tab üzerinde ekleyebiliriz.

İstenen bilgileri doldurduk sonraki ekranda  giriş bilgilerini göstermesi için username ve password kutucuklarını işaretliyorum

Giriş başarılı bir şekilde gerçekleştikten sonra yönlendirilecek kurum web sayfasını belirtiyorum.

Misafir olarak gelen kullanıcıları hazırladığımız web sayfamıza nasıl yönlendireceğimize geldi sıra

Öncelikle dynamic-access-list DACL nedir onu açalım DACL ; ISE üzerinde hazırladığımız ACL leri switchlerimiz üzerinde ilişkilendirdiğimiz access-list türüdür

NOT: Sadece switchlere gönderebiliyoruz bu ACL leri, Wireless Lan Controllerlar üzerinde bu işlemi yapamıyoruz.

İki adet DACL yazacağız bunlardan birisi misafir ağına katılmak isteyen kullanıcıyı Guest Portal ekranına yönlendirmede kullanacağız , diğeri ise Networke giren kullanıcıya vereceğimiz sadece internete erişim ACL dir.

Bu işlem için sırayla Policy>Policy Elements> Results> Downloadable ACLs> New

Ip alabilmesi dns çözebilmesi ve ISE Guest Portal portuna izin veriyorum kalan tüm trafiği blokluyoruz

Diğer DACL networke giriş yapan cihazların networkumuzde erişim yetkileri neler olacağını belirlediğimiz DACLdir.

Oluşturduğum bu ACL leri birer Result la birleştireceğiz

WEB-AUT Result ;

DACL Name kısmında birönceki adımda oluşturduğum WEB-AUT adındaki DACL ımı seçiyoruz

Comman Tasks kısmında ise gene önceki adımlarda oluşturduğumuz Guest Portal sayfası olan Self Registered Guest Portal

ACL ise Switch üzerinde oluşturduğumuz REDIRECT adındaki ACL i seçiyoruz ardından SAVE .

INTERNET-ACCESS Result ;

Networke erişim sağlayan kullacılar için yazdığımız DACL_ONLY_INTERNET ACL yi burada bağlayıp SAVE diyoruz.

Vlan ataması yapmak istiyorsanız bu sayfadan vlan tabında gerekli atama işlemini yapabilirsiniz.

Authorization Policy ;

CWA ; Kullanıcı MAB (kablolu mac address baypass) dan geliyorsa WEB-AUT da tanımladığımız kimlik doğrulama sayfasına yönlendirilecek

GuestFlow; Kullanıcı kimlik denetimden geçtikten sonra network deki erişim iznini belirlediğimiz INTERNET-ACCESS Resulttur.

Kullanıcımızı test etmeye sıra geldi Misafir bilgisayarımıza network kablomuzu takıyoruz ve logları incelemeye başlıyoruz.

Sırayla switch ,ise, ve clientımızdaki duruma bakalım

Switch çıktımız da kullanıcının ip , mac adresi şuanda hangi ACL işliyor ve redicrect policymizin çalıştığını görüyoruz

Aynı loglara ISE üzerinden de görebiliriz.

Şimdi Kullanıcı Pc sinde formumuzu doldurup giriş yapmayı deneyelim

Bilgisayarımı network kablosunu taktığım zaman aşağıdaki ekran karşılıyor artık beni

Hesap oluşturmak için tıklıyoruz.

Doldurulmasını istediğimiz alanları makalenin başında belirlemiştik.

Artık bir kullanıcı adım ve şifrem var Sign On networke erişim sağlıyoruz.

Artık internet erişimim var.Switch ve ISE loglarına tekrar bakıyorum

ISE üzerinde oluşturduğumuz diğer ACL ye çarptığını görüyoruz artık

Son olarak ISE loglarınada baktığımzda csanli kullanıcısının networke erişimini sağladığını görüyoruz.

Bir sonraki ISE makalemde sizlere bu sayfayı nasıl custom yapabiliriz, hazır template kullanımı ISE Portal Builder kullanımını anlatıyor olacağım.

Leave a Reply

Your email address will not be published. Required fields are marked *

Enjoy this blog? Please spread the word :)